Více než kdy jindy je právě dnes práce v IT bezpečnosti zajímavá a vzrušující. Často ale také skličující. Bezpečnostní hrozby jsou stále větší a bližší, útoky jsou rychlejší a agresivnější a útočníci čím dál nenasytnější. Vlády, státní instituce i průmyslové subjekty se musí podřizovat více zákonům, předpisům a standardům. To vše v kombinaci se stále komplexnějším IT prostředím dělá řízení informační bezpečnosti stále náročnější, a to jak na čas, tak i lidské a finanční zdroje. Když si k tomu navíc uvědomíme, že bez zpracovávání obrovského množství dat, běžně i v řádech terabytů za den, se už pokročilá bezpečnost dělat nedá, zjistíme, že je třeba se na moderní hrozby a jejich co nejrychlejší identifikaci pořádně vyzbrojit. Je na čase opustit pozici lovné zvěře a stát se sám lovcem.

Vzhledem ke schopnostem dnes běžně dostupných bezpečnostních systémů a úrovně jejich využívání u mnoha firem i institucí je zřejmé, že většina z nich má k efektivnímu řízení bezpečnosti ještě daleko. Bezpečnostní analytici totiž pro svou práci potřebují zpracovávat řádově větší objemy dat, než je dnešní praxí. Z těchto dat pak potřebují co nejrychleji vytěžit mnohem více informací, než mohou dnes. Ty jim následně umožní mnohem rychlejší a kvalifikovanější rozhodnutí, a tím úplně jinou míru efektivity každodenní práce. Není pak výjimkou v reálném provozu rozsáhlé sítě identifikovat útok v řádu vteřin či minut (namísto dnes běžných dní až týdnů), analyzovat jej a eliminovat během minut či hodin (namísto v současnosti potřebných dní) a obratem přijmout potřebná opatření.

Na ad hoc řízení bezpečnosti není čas

Pracujete-li v oddělení bezpečnosti s velkými objemy dat různých typů a formátů (nebo spíš až budete s takto velkými objemy dat pracovat, což vás v budoucnu nemine), nelze už informační bezpečnost řídit ad hoc způsobem. A to zejména proto, že nalézt ve všech terabytech a petabytech „sena“ dat „jehly“ ukazující na nějaký bezpečnostní problém je prostě tímto způsobem bez notné dávky náhody nemožné.

Bohužel i přes stále rostoucí investice do informační bezpečnosti mají a vždy budou mít kyberútočníci náskok. Podle výsledku analýzy Verizon Data Breach Investigations Report z roku 2012 vedlo 91 procent útoků ke kompromitaci systémů v řádu maximálně jednotek dnů, zatímco u 79 procent těchto útoků trvala jejich identifikace několik týdnů a více. Nepoměr mezi rychlostí útoku a jeho identifikací je enormní. A co je nejhorší, většina útoků není identifikována nikdy, nebo až po informaci z veřejných zdrojů. Vladislav Vančura by na to možná ústy Rudolfa Hrušínského řekl, že tento způsob řízení bezpečnosti zdá se mu poněkud nešťastným.

Faktorů, které k výše uvedenému nelichotivému stavu IT bezpečnosti přispívají, je několik:

• Útočníci jsou stále více organizovaní a umí si zajistit potřebné finance. A zatímco útoky jsou mnohem dynamičtější a modernější, obrana zůstala statická a často archaická. Útoky jsou dnes navrhovány tak, že využívají slabosti a nezkušenosti uživatelů. A ta je do určité míry všudypřítomná nezávisle na typu firmy či organizace.
• Čím více využívá organizace své IT, v tím složitější situaci se nachází. Na straně jedné přináší rozvoj firemního IT lepší komunikaci, spolupráci, nové obchodní kanály a příležitosti, na straně druhé ale zvětšuje prostor pro zranitelnosti, které se kyberzločinci, hacktivisté a jiné skupiny naučily využívat.
• Zajistit do toho všeho shodu životního cyklu IT systémů a v nich uložených dat s předpisy a zákony je noční můrou mnoha ředitelů IT bezpečnosti. Regulátoři a zákonodárci svými předpisy a zákony firmy stále více svazují. Pro společnosti, zejména ty větší s více divizemi či dceřinými firmami operujícími po celém světě, je tak stále těžší udržet si přehled o funkčnosti současných bezpečnostních opatření a systémů, o případných nových potřebách v této oblasti, ale i o tom, zda jsou současná opatření správně zavedena, dodržována a kontrolována.

Analýzou těchto faktorů dospějeme k mnohem složitějšímu řízení bezpečnosti s mnoha závislostmi, a navíc s výrazně rozšířenou odpovědností. Tak jak se postupně digitalizují další firemní procesy, má i oddělení IT bezpečnosti možnost (a vlastně i povinnost) data o těchto procesech schraňovat a analyzovat.

Tři základní stavební kameny řízení bezpečnosti nové generace

Nová generace řízení bezpečnosti na bázi analýzy velkých objemů dat se neobejde bez tří základních kamenů – flexibilní infrastruktury, analytických nástrojů včetně vizualizace a stálého přísunu aktuálních informací o identifikovaných hrozbách (viz schéma).

Infrastrukturou je myšlena flexibilní platforma podporující sběr, analýzu a bezpečné uložení obrovského množství informací (logů, síťového provozu atd.) ze stále modernizujícího se IT prostředí – od nových aplikací přes nové komunikační kanály, virtualizaci a outsourcing. Nad touto infrastrukturou musí analytické a vizualizační nástroje podporovat specializace jednotlivých uživatelů – od manažerského pohledu přes základní identifikaci událostí až po jejich forenzní analýzu na bázi logů, obsahu síťového provozu a analýzy malwaru. Pouze tak lze okamžitě a v plném detailu zrekonstruovat celou událost, zjistit její příčinu, a efektivně tak zajistit její vyřešení.

Stálý přísun informací o nových hrozbách, tzv. threat intelligence, které jsou zdarma dostupné na internetu, stejně jako možnost zapojení dalších placených služeb, dává celému řešení potřebný nový rozměr. Díky této službě má celé řešení stále aktuální informace o nových hrozbách, které v reálném čase koreluje se sesbíranými událostmi z celé infrastruktury a se síťovým provozem. To dává analytikům velmi silný nástroj pro odhalení i těch nejmodernějších typů útoků.

Big data

Termín big data se z pohledu analytiky nerovná jen „velkému množství dat“. Analytika tomu musí být plně přizpůsobena a musí být schopna rozpoznat bezpečnostní hrozby již v jejich zárodku nezávisle na objemu analyzovaných dat. To všechno musí být podpořeno infrastrukturou pro jejich sběr, zpracování a uložení. Správný přístup k řízení a monitoringu bezpečnosti je pak založen právě na rychlém vyhledání dat, jejich rekonstrukci a analýze, a to v té nejrychlejší a nejefektivnější možné míře. Architektura big data umožní organizaci stavbu robustní platformy pro maximálně efektivní bezpečnostní monitoring umožňující jak řízení bezpečnosti, tak průběžné ověřování shody s potřebnými předpisy a zákony.

Správný analytický systém, ideálně podpořený architekturou big data, určený pro bezpečnostní monitoring musí zajistit:

• Eliminaci ruční práce při rutinních aktivitách – systém musí snížit počet manuálních, únavných a často se opakujících úkolů spojených s řešením události, jako je přepínání mezi konzolemi a stálé vyhledávání v několika různých aplikacích. Cílem je výrazné snížení počtu kroků a tím potřebného času a zdrojů k vyřešení problému.
• Přidání kontextu pro rychlé nastavení důležitosti událostí – bezpečnostní týmy a jednotliví analytici si potřebují okamžitě přiřadit události ke kritickým zdrojům a znát jejich vazby, aby tak mohli efektivně stanovovat priority své práci.
• Prezentaci pouze těch nejdůležitějších údajů – bezpečnostní analytici se často soustředí na snížení falešných poplachů, ale ve skutečnosti jsou problémy složitější, než jen „false“ nebo „true“. Systém musí naopak umožnit rychle odstranit „šum“ a pomoci se zaměřit na reálné problémy.
• Vidět „přes horizont“ – systém musí zajistit včasné varování založené na stálém přísunu informací o externích hrozbách a jejich korelace s interním IT provozem. Tím posune bezpečnostní analytiky z pasivní do aktivní obranné role a umožní mnohem lepší prevenci.

Změňte svoji roli

Dnešní doba je z pohledu kyberkriminality vážná, a co hůř, nebude líp. Aktuálně implementované procesy a bezpečnostní nástroje se funkčně ani uživatelsky nejsou schopny vypořádat s každodenním nárůstem nových typů hrozeb. Bezpečnostní monitoring nové generace analyzující logy a síťový provoz, automatizující identifikaci cíleného malwaru, doplněný případně architekturou big data, však tyto hrozby včetně hrozeb typu APT i zero day rozpozná a umožní vám několikanásobně lepší viditelnost do bezpečnosti vaší infrastruktury. Je třeba se přizpůsobit útočníkům a z lovné zvěře se stát lovcem. Půjdete-li cestou bezpečnostního monitoringu nové generace stručně popsané v tomto článku, budete rozhodně na správné cestě a uvidíte, že stát se v této sféře lovcem není zase tak složité.

David Matějů
Autor působí jako senior systems engineer ve společnosti RSA, bezpečnostní divizi EMC.